
EvilTokens e il “phishing fantasma”
JadePuffer, il primo ricatto informatico agentico
Quando l’intelligenza artificiale non si limita a scrivere codice malevolo, ma orchestra l’attacco.
Un cambio di scenario
Per anni l’intelligenza artificiale è stata raccontata come un acceleratore del cybercrime: più phishing, più codice malevolo, più automazione. Con JadePuffer, però, il dibattito cambia livello. Secondo il Threat Research Team di Sysdig, siamo davanti a uno dei primi casi documentati di ransomware “agentico”: non un semplice malware scritto con l’aiuto di un modello linguistico, ma un’operazione di estorsione informatica guidata end-to-end da un agente basato su LLM, capace di esplorare, decidere, correggersi e colpire senza un operatore umano in ogni singolo passaggio [1].
La differenza è sostanziale. Un ransomware tradizionale segue istruzioni predefinite: entra, cifra, chiede un riscatto. JadePuffer, stando all’analisi tecnica, avrebbe concatenato più fasi operative: accesso iniziale, ricognizione, raccolta di credenziali, scansione interna, tentativi di movimento laterale e azione distruttiva contro un database. Le tecniche non sono necessariamente nuove; nuova è la loro orchestrazione autonoma.
“IA criminale” è una semplificazione giornalistica. Non ci sono prove di volontà autonoma o intenzione propria del modello. Il punto è operativo: qualcuno avrebbe configurato o usato un agente IA con strumenti e permessi sufficienti per eseguire una catena d’attacco.
Il punto d’ingresso: Langflow e CVE-2025-3248
Il punto d’accesso individuato è CVE-2025-3248, una vulnerabilità critica di Langflow, framework open source usato per creare applicazioni e workflow basati su modelli linguistici. Il National Vulnerability Database del NIST descrive la falla come una code injection nell’endpoint /api/v1/validate/code, sfruttabile da remoto e senza autenticazione per eseguire codice arbitrario. Il punteggio CVSS 3.1 indicato è 9,8, quindi “critical” [2].
GitHub Advisory segnala come vulnerabili le versioni di Langflow precedenti alla 1.3.0 e indica la 1.3.0 come versione corretta [3]. Inoltre, la vulnerabilità è stata inserita nel catalogo CISA delle vulnerabilità note sfruttate attivamente, un segnale che la falla non era solo teorica ma già rilevante in scenari reali [4].
Che cosa avrebbe fatto JadePuffer
Dopo l’accesso, l’agente avrebbe cercato segreti nell’ambiente compromesso: chiavi API per provider LLM, credenziali cloud, configurazioni di database, wallet, seed phrase crypto e file interni. Sysdig riporta anche il dump del database Postgres di Langflow e una scansione della rete interna alla ricerca di servizi raggiungibili [1].
Il passaggio più emblematico riguarda la capacità di adattamento. In una sequenza osservata, JadePuffer sarebbe passato da un login fallito a una correzione funzionante in 31 secondi. Non è un dettaglio cosmetico: è il tipo di comportamento che distingue uno script rigido da un agente capace di tentare, interpretare l’errore e cambiare strada.
| Fase | Rischio | Segnale difensivo |
|---|---|---|
| Accesso iniziale | Critico RCE su servizio esposto | Traffico verso endpoint vulnerabili, processi anomali, comandi inattesi |
| Raccolta segreti | Alto API key e credenziali in chiaro | Letture massive di file di configurazione, accessi a variabili d’ambiente |
| Movimento laterale | Alto Scansione rete interna | Connessioni laterali insolite, enumerazione di porte e servizi |
| Estorsione | Critico Cifratura o distruzione dati | Modifiche massive ai database, note di riscatto, operazioni non reversibili |
Perché il termine “agentico” conta
Il termine “agentico” non significa che l’IA abbia coscienza, intenzioni o responsabilità morale. Significa che un modello è stato inserito in un sistema dotato di strumenti, obiettivi e permessi per agire su ambienti reali. OWASP descrive questo tipo di rischio come “excessive agency”: quando un’applicazione LLM riceve troppa autonomia o accesso a tool troppo potenti, può produrre effetti dannosi anche senza una classica vulnerabilità software [5].
JadePuffer va quindi letto in modo meno spettacolare ma più serio: non “l’IA si è ribellata”, bensì “l’automazione offensiva è diventata abbastanza matura da ridurre il lavoro umano necessario”. Il criminale non deve più essere esperto in ogni passaggio della catena d’attacco. Può fornire un obiettivo, un’infrastruttura e un set di strumenti, lasciando che l’agente provi, fallisca, corregga e ripeta.
OpenAI e Anthropic hanno documentato l’uso di modelli AI in operazioni malevole o cyber, spesso in combinazione con strumenti tradizionali. Questi report non provano che ogni attacco futuro sarà autonomo, ma indicano una direzione: l’IA sta entrando nella fase operativa del cybercrime, non solo in quella preparatoria [6] [7].
Lezioni per aziende e difensori
Il finale ricostruito da Sysdig è quasi paradossale: l’agente avrebbe prodotto una richiesta di riscatto e cifrato elementi del database, ma la chiave usata per la cifratura sarebbe stata effimera e non recuperabile. Se questa ricostruzione è corretta, i dati non sarebbero stati ripristinabili nemmeno pagando. È una lezione brutale: quando l’attaccante è un sistema automatizzato e imperfetto, il danno può essere irreversibile non per raffinatezza, ma per errore [1].
Per le aziende, la priorità non è immaginare super-intelligenze ostili, ma ridurre le occasioni che un agente può sfruttare automaticamente: servizi esposti su Internet, versioni non aggiornate, credenziali nei file di configurazione, chiavi API nei processi, database raggiungibili internamente senza segmentazione, account con privilegi eccessivi.
- Patchare Langflow e qualsiasi servizio esposto non aggiornato.
- Rimuovere da Internet interfacce amministrative, dashboard e API interne.
- Ruotare credenziali e API key potenzialmente esposte.
- Separare reti applicative, database e ambienti di sviluppo.
- Monitorare comportamenti anomali, non solo firme malware note.
- Testare backup e procedure di ripristino con scenari di cifratura distruttiva.
JadePuffer non segna la nascita di una criminalità informatica senza esseri umani. Segna qualcosa di più probabile e più vicino: una criminalità in cui l’essere umano arretra dal comando manuale e diventa progettista, cliente o supervisore di agenti offensivi. È un cambiamento economico prima ancora che tecnologico: abbassa la soglia di competenza, aumenta la velocità di esecuzione e rende appetibile l’automazione di vulnerabilità vecchie, dimenticate, ma ancora esposte.
Fonti e verifica
Le fonti riportate sono state selezionate privilegiando report tecnici primari, database ufficiali di vulnerabilità e organizzazioni riconosciute nel settore della sicurezza informatica.



